Thought Leadership
Die Linux-Sicherheitslücke DirtyClone (CVE-2026-43503) ermöglicht lokalen Nutzern das Einschleusen von Schadcode im Arbeitsspeicher für Root-Rechte.
Sicherheitsforscher von JFrog haben einen funktionierenden Exploit für eine neue Schwachstelle im Linux-Kernel namens DirtyClone veröffentlicht. Die unter CVE-2026-43503 registrierte Sicherheitslücke weist eine CVSS-Bewertung von 8,8 auf und gehört zur Schwachstellen-Familie DirtyFrag. Lokale Angreifer können über die Lücke den dateibasierten Arbeitsspeicher manipulierter Netzwerkpakete überschreiben und dadurch administrative Root-Rechte erlangen. Der Fehler entsteht, wenn der Kernel ein Netzwerkpaket intern kopiert. Die Hilfsfunktionen des Kernels verlieren dabei ein Sicherheits-Flag, welches den Speicherbereich als geteilt mit einer Datei auf der Festplatte kennzeichnet.
Ein Angreifer kann eine privilegierte Binärdatei wie su in den Arbeitsspeicher laden, diese Speicherseiten in ein Netzwerkpaket einbinden und den Kernel zum Klonen zwingen. Wenn das geklonte Paket einen vom Angreifer kontrollierten IPsec-Tunnel passiert, überschreibt der Entschlüsselungsschritt die Login-Prüfungen im Arbeitsspeicher. Da die eigentliche Datei auf der Festplatte unverändert bleibt, schlagen Integritätswerkzeuge nicht an. Der Angriff hinterlässt keine Protokolleinträge, und ein Systemneustart stellt den Originalzustand wieder her.
Voraussetzungen für den Angriff und betroffene Distributionen
Für die Ausnutzung der Schwachstelle benötigt der Angreifer bestimmte Netzwerkrechte, um den für den Angriff erforderlichen Loopback-IPsec-Tunnel zu konfigurieren. Bei Linux-Distributionen wie Debian und Fedora sind unprivilegierte Benutzernamensräume standardmäßig aktiv, wodurch ein lokaler Nutzer diese Rechte innerhalb eines neuen Namensraums selbst erzeugen kann. Ubuntu ab Version 24.04 schränkt die Erstellung dieser Namensräume über AppArmor ein und blockiert somit den Standard-Exploit-Weg. Da der Seitencache auf Host-Ebene geteilt wird, betreffen die Modifikationen innerhalb eines Namensraums alle Prozesse des Systems. Besonders gefährdet sind mandantenfähige Server, CI/CD-Systeme, Container-Hosts und Kubernetes-Cluster.
DirtyClone ist die vierte Entdeckung dieser Art innerhalb kurzer Zeit. Zuvor wurden die verwandten Schwachstellen Copy Fail, DirtyFrag sowie Fragnesia dokumentiert. Der zugrundeliegende Fehler liegt in der Handhabung des Zero-Copy-Netzwerks im Kernel, bei dem jeder Code-Pfad beim Transfer von Fragmenten das entsprechende Sicherheits-Flag fehlerfrei weitergeben muss.
Verfügbare Updates und temporäre Gegenmaßnahmen
Ein umfassender Patch wurde am 21. Mai 2026 in den Linux-Kernel ihre integriert und mit der Kernel-Version v7.1-rc5 ausgeliefert. Die Korrektur wurde zudem in die stabilen LTS-Zweige zurückportiert. Distributionen wie Ubuntu, Debian und SUSE haben entsprechende Sicherheitswarnungen veröffentlicht.
Falls ein sofortiges Einspielen des Kernel-Updates nicht möglich ist, stehen zwei temporäre Gegenmaßnahmen zur Reduzierung der Angriffsfläche zur Verfügung:
- Deaktivierung unprivilegierter Benutzernamensräume über die entsprechende Kernel-Variable.
- Blockieren der Kernel-Module esp4, esp6 und rxrpc über eine Blacklist, sofern diese Funktionen als ladbare Module vorliegen.
(red)
